Zum Hauptinhalt springen

1.4. The INFORMATIONAL Exchange (INFORMATIONAL-Austausch)

1.4 The INFORMATIONAL Exchange (INFORMATIONAL-Austausch)

Während einer IKE SA können Peers Steuerinformationen zu Fehlern oder Ereignissen senden. Dafür dient INFORMATIONAL. INFORMATIONAL DARF nur nach den initialen Austauschen stattfinden und ist mit den vereinbarten Schlüsseln geschützt. Einzelne Informational-Nachrichten können außerhalb einer IKE SA möglich sein. Abschnitt 2.21 zu Fehlern.

Steuerung zur IKE SA MUSS unter dieser IKE SA laufen. Zu Child SAs MUSS sie unter der erzeugenden IKE SA (oder Nachfolger nach Rekey) laufen.

Nachrichten enthalten null oder mehr Notification-, Delete- und Configuration-Payloads. Der Empfänger einer INFORMATIONAL-Anfrage MUSS antworten (auch leer), sonst Retransmission. Leere Anfrage dient der Lebendigkeitsprüfung.

Initiator                         Responder
-------------------------------------------------------------------
HDR, SK {[N,] [D,]
    [CP,] ...}  -->
                               <--  HDR, SK {[N,] [D,]
                                        [CP,] ...}

Verarbeitung hängt von den Payloads ab.

1.4.1. Deleting an SA with INFORMATIONAL Exchanges

ESP- und AH-SAs existieren paarweise. Beim Schließen MÜSSEN beide Hälften gelöscht werden. Jeder Endpunkt schließt eingehende SAs; der Partner die andere Hälfte. Delete-Payloads listen SPIs wie in eingehenden Headern erwartet. Empfänger MUSS schließen. Nie beide Seiten einer SA in einer Nachricht. Viele SAs: je Delete für die eingehende Hälfte jedes Paares.

Normalerweise enthält die Antwort Deletes für die Gegenrichtung. Ausnahme: gekreuzte Löschungen: bei bereits ausgesprochenem Löschen MUSS der Knoten ausgehend beim Request und eingehend bei der Response löschen; Response ohne Delete für diese SPIs (MUST NOT), um Doppellöschung zu vermeiden.

IKE-SAs löschen ebenfalls per INFORMATIONAL; implizit alle Child SAs. Antwort auf IKE-Löschung: leere INFORMATIONAL.

Halbgeschlossene ESP/AH-Verbindungen sind anomal; Audit empfohlen. Keine festen Zeiten in der Spezifikation. Eingehende Daten können abgelehnt werden (MAY), aber keine einseitige SPI-Wiederverwendung (MUST NOT). Bei Chaos IKE SA schließen und neu aufbauen (MAY).

Letztes Update am